Mal ein Wort zu dem Beitrag von Face.
Wir arbeiten unter anderem mit IP Drop Tables. Diese droppen automatisch jede Verbindung die überproportional viel Bandbreite ausschöpft. (Klassiches Beispiel, 5 Kiddies die durchweg F5 drücken). Sollte jemand zu viele Verbinungsanfragen an den Server schicken (Was ja prinzipiell eine DdoS Attacke ist) wird er schlichtweg geblacklisted.
Da aber derart viele verschiedene Verbindungsanfragen den Server bombardieren, und dieser dann nur noch mit dem droppen von Anfragen beschäftigt ist (Was bei einem derart überdimensionierten Server schon ne Kunst ist), staut sich halt unheimlich viel Traffic im Rechenzentrum.
Die Folge ist nunmal das der Anbieter dann den Server vom Netz nimmt, um die anderen Server innerhalb des Verbundes nicht auch auszubremsen.
Wie es im aktuellen Fall aussieht müssen die Statistiken zeigen, die wir natürlich eingehend auswerten werden.
In den vorhergegangenen Fällen war es allerdings jedesmal mit 100%iger Sicherheit ein Botnetzwerk, was, warum auch immer, unseren Server angegriffen hat.
Erstens waren die unheimlich vielen Serveranfragen ein Indiz dafür, zweitens waren etliche IPs von größeren Firmen aus dem Ausland (vornehmlich Nordamerika) daran beteiligt. Ich glaube kaum das denen bekannt ist/war das die Teil eines Botnetzes sind.
Wir werden das Ganze natürlich genau untersuchen, und uns weiterhin damit beschäftigen wie man softwareseitig das Ganze noch näher eindämmen kann.
Eine gezielte DdoS Attacke verhindert man aber ohne passenden Hardwareschutz (Der bei gängigen Anbietern immerhin bei round about 500€/Monat liegt) nicht mal im Ansatz....
To be continued....